Почему команда дерева не включена в сервер Ubuntu?

Question 1

При установке утилиты командной строки дерева на сервере Ubuntu возникают проблемы с безопасностью? Он не включен по умолчанию на сервере.

Question 2

То, что я сейчас опишу, скорее всего, очень гипотетическая ситуация.

Предположим, вы запускаете дерево в той части файловой системы, где любой пользователь может создавать файлы, например, в /tmp или /var/tmp.
Предположим, что злоумышленник создал в этом месте очень явно имена файлов. Это можно было сделать либо с помощью действительной учетной записи пользователя в системе, либо «обманув» слегка уязвимого и общедоступного демона сервера.
Предположим, что в дереве имеется фактическая уязвимость / слабость относительно того, как оно работает с «нечетными» именами файлов.

При таких обстоятельствах возможно, что дерево можно обмануть, чтобы запустить непреднамеренные инструкции с привилегиями на вашей учетной записи пользователя. Очевидно, что ущерб будет намного хуже, если предположить, что дерево было вызвано с привилегиями root.

Тем не менее, это ничем не отличается от того, что вы открываете для себя каждый раз, когда используете какое-либо приложение для обработки данных, созданных внешней / неизвестной стороной. Независимо от того, просматриваете ли вы веб-страницу в браузере, слушаете mp3-файл в музыкальном проигрывателе или редактируете документ в текстовом редакторе, вам все равно нужно доверять приложению для обработки поступающих данных в здравом уме.

Это, кстати, то, почему уязвимости безопасности в веб-браузерах являются такими серьезными, поскольку они постоянно подвергаются влиянию внешних / неизвестных сторон. То же самое относится и к серверным демонам, где потенциальный злоумышленник имеет постоянную возможность кормить вас «плохими» входными данными. Сравните это с вашим калькулятором, где вы сами вводите все данные, когда вы вводите их числами.

Подытожьте:

Да, при установке и запуске дерева существует теоретическая соображения безопасности, как и в случае почти любого другого программного обеспечения.

Тем не менее, большинство приложений, которые вы найдете в репозиториях Ubuntu, будет достаточно безопасным для установки и использования. Пока мы говорим о приложениях для обычных пользователей, я не думаю, что вам стоит сильно волноваться.

(Не беспокойтесь, общедоступные серверные демоны.)

Question 3

Question 4

Я подозреваю, что дерево не установлено по умолчанию, потому что оно находится в universe (приложения должны быть в main, прежде чем их можно будет установить по умолчанию).

Быстрый просмотр журнала изменений не показывает записи проблем безопасности, и в Ubuntu нет отчетов об ошибках , даже если вернуться к Dapper.

]

Поэтому я бы посоветовал просто установить tree на свой сервер, это, вероятно, безопаснее, чем многие популярные серверные приложения.

Mitch · Answer 1 · 13 August 2012 в 16:54

То, что я сейчас опишу, скорее всего, очень гипотетическая ситуация.

Предположим, вы запускаете дерево в той части файловой системы, где любой пользователь может создавать файлы, например, в /tmp или /var/tmp.
Предположим, что злоумышленник создал в этом месте очень явно имена файлов. Это можно было сделать либо с помощью действительной учетной записи пользователя в системе, либо «обманув» слегка уязвимого и общедоступного демона сервера.
Предположим, что в дереве имеется фактическая уязвимость / слабость относительно того, как оно работает с «нечетными» именами файлов.

При таких обстоятельствах возможно, что дерево можно обмануть, чтобы запустить непреднамеренные инструкции с привилегиями на вашей учетной записи пользователя. Очевидно, что ущерб будет намного хуже, если предположить, что дерево было вызвано с привилегиями root.

Тем не менее, это ничем не отличается от того, что вы открываете для себя каждый раз, когда используете какое-либо приложение для обработки данных, созданных внешней / неизвестной стороной. Независимо от того, просматриваете ли вы веб-страницу в браузере, слушаете mp3-файл в музыкальном проигрывателе или редактируете документ в текстовом редакторе, вам все равно нужно доверять приложению для обработки поступающих данных в здравом уме.

Это, кстати, то, почему уязвимости безопасности в веб-браузерах являются такими серьезными, поскольку они постоянно подвергаются влиянию внешних / неизвестных сторон. То же самое относится и к серверным демонам, где потенциальный злоумышленник имеет постоянную возможность кормить вас «плохими» входными данными. Сравните это с вашим калькулятором, где вы сами вводите все данные, когда вы вводите их числами.

Подытожьте:

Да, при установке и запуске дерева существует теоретическая соображения безопасности, как и в случае почти любого другого программного обеспечения.

Тем не менее, большинство приложений, которые вы найдете в репозиториях Ubuntu, будет достаточно безопасным для установки и использования. Пока мы говорим о приложениях для обычных пользователей, я не думаю, что вам стоит сильно волноваться.

(Не беспокойтесь, общедоступные серверные демоны.)

jbowtie · Answer 2 · 13 August 2012 в 16:54

Я подозреваю, что дерево не установлено по умолчанию, потому что оно находится в universe (приложения должны быть в main, прежде чем их можно будет установить по умолчанию).

Быстрый просмотр журнала изменений не показывает записи проблем безопасности, и в Ubuntu нет отчетов об ошибках , даже если вернуться к Dapper.

]

Поэтому я бы посоветовал просто установить tree на свой сервер, это, вероятно, безопаснее, чем многие популярные серверные приложения.

Почему команда дерева не включена в сервер Ubuntu?

2 ответа

Другие вопросы по тегам:

Похожие вопросы: